Un esperto di sicurezza di F-Secure ha scoperto un paio di exploit zero-day nel software usato dalle banche. Attaccanti in grado di sfruttare con successo le due vulnerabilità possono ottenere privilegi a livello root nei confronti dei loro bersagli ed eseguire comandi non autorizzati. Tutto questo riporta all’attenzione l’importanza per le organizzazioni di installare gli aggiornamenti non appena possibile.
William Söderberg, Security Consultant di F-Secure, ha scoperto entrambe le vulnerabilità in IBM API Connect, un prodotto usato da molte istituzioni finanziarie per supportare i servizi di Open Banking come stabilito dalle regolamentazioni PSD2 (una legge Europea che governa i sistemi di pagamento).
“È difficile descrivere l’impatto perché il prodotto può essere usato e implementato in molti modi differenti. Ma le falle potrebbero consentire a un attaccante di ottenere accesso non autorizzato alle credenziali API che sono usate appunto per accedere alle API. Un attaccante potrebbe anche causare possibili interruzioni del servizio e stabilire un iniziale punto d’appoggio sulle reti interne del cliente,” spiega William.
La prima vulnerabilità (CVE-2019-4203) è classificata come attacco Server-Side Request Forgery (SSRF). Se sfruttata con successo, un attaccante potrebbe “ingannare” il portale per fare richieste per conto delle persone prese di mira. Gli attaccanti potrebbero così ricevere risposte: operando in questo modo, un attaccante può leggere file sensibili dal Developer Portal o tentare di muoversi dal server del portale verso altri sistemi nella stessa rete.
La seconda vulnerabilità (CVE-2019-4202) è classificata come remote code execution (RCE). È collocata nel REST API del Developer Portal. Le organizzazioni tipicamente bloccano il REST API da internet (per esempio, usando un firewall). Ma sfruttando la vulnerabilità SSRF menzionata prima, un attaccante può raggiungere il REST API da internet. Sfruttando enrambe queste vulnerabilità, un attaccante potrebbe eseguire comandi in remoto con privilegi sul sistema colpito.
Fortunatamente, c’è una soluzione che può mitigare il danno potenziale.
“C’è un limite per un attaccante,” spiega William. “I clienti possono configurare il loro Development Portal affinché non siano consentite connessioni TLS non sicure. Questo mitigherebbe che RCE sia sfruttabile attraverso Internet.”
IBM è stata prontamente avvisata di questo, e ha già reso disponibile una patch. F-Secure raccomanda di aggiornare il software subito, vista la serietà di queste vulnerabilità.
IBM ha pubblicato bollettini di sicurezza per entrambe le vulnerabilità (CVE-2019-4202 e CVE-2019-4203) sul suo sito.
Categorie